Как снести сервер за 6 часов?

Всем привет и это ваш любимый формат постов! Сегодня лайтовый выпуск.

Сегодня расскажу о старой уязвимости средних серверов Discord, которая существует благодаря тем-же модераторам Discord.

Немного предыстории

Пару дней назад, вы этого конечно не заметили, был снесён небольшой (на 500 человек) discord-сервер одного из проектов нашей SCP:SL. Рейд проводился по классике ночью. Владелец, как нормальный человек, в это время спал, модераторы в это время, либо тоже спали, либо просто отсутствовали.

В это время на сервер заходят семеро авантюристов, со своих основных аккаунтов и начинают забрасывать чат различными порнографическими материалами (Ну в этом нет ничего удивительного или такого запрещённого) видео с расчленёнкой, убийствами и призывом к суициду в чате, и начали кидать жалобы на сервер.

Конечно, если бы утром владелец или модераторы сервера проснулись, то немедленно удалили бы эти материалы. Но, не получилось, человек обычно спит 8 часов, а снос происходит за 6. Discord - модераторы оказались быстрее, не в том смысле чтобы забанить нарушителей или как-то помочь в данной ситуации, вместо этого они сносят сервер, и всё что мог увидеть это сообщение на почту, что его сервер удалён за нарушение правил сообщества и собственно сами материалы, которые нарушали данные правила.

Как так получилось?

В последнее время, в дискорд модеры берут людей недалёкого ума, которым удовольствие заключается не в решение проблемы, а в бане очередного сервера для отчётности (msc team, со своей бессменной ссылкой привет). Хотя со своей политикой Discord давно сказал владельцам: "Спасение утопающих - дело рук самих утопающих. Тебе дан целый сервер в распоряжение, так защити его не только от рейда, но и так, чтобы мы ничего не смогли найти".

Также автоматизированные системы в борьбы с рейдами максимум что могут сделать - так это нехило взять за щеку. Даже Giga Chad AI и то имеет больший потенциал, чем те самые защитники в виде Clyde и прочих. Единственное что у них получилось, так это создать хорошую функцию поиска совпадений по ключевым словам в строке. Годы разработки ушли на создание функции поиска совпадений в строке.

Насколько я помню, то проверку на запрещённые материалы дискорд ввёл не так давно. Да работает, но не на всех и всё. Например, если какое-то видео с порнухой было опубликовано до введении данной системы, то боты даже не будут сканировать его.

Если следовать советам самого дискорда, то владелец обязан нанять группу модераторов и ботов, чтобы они следили за сервером. Но как мы помним (ссылка1, ссылка2) иногда опасность может исходить и от самих же модераторов, ведь никто не застрахован от того, что вчерашний ещё друг будет вести двойную игру, из-за того, что ты замутил его приятеля и они решили вместе пошалить. От ботов стабильности не больше, никто не гарантирует, что какой-нибудь Carl или Juniper не станут Nuke ботами.

Причём не только сервера партнёров, но и официальные сервера discord подвергаются иногда рейдам, но почему-то они не отлетают в бан за нарушение своих же правил, что очень печально, может быть это было им уроком.

Давать советы по защите я думаю не стоит, вы и так их знаете. Единственное, что может работать хладнокровно и наиболее стабильно - боты (важно знать отличие анти-краш от анти-рейд ботов), модерация из людей тоже не помешает, но только нужно помнить кому даёте права, а сервер с ботом всегда может отключиться по закону подлости. Как параноик сидеть 24/7 в онлайне того не стоит.

Я написал запрос в службу модерации Discord за разъяснениями и обязательно опубликую их ответ. А пока ждите новых историй, ведь в такое скучное время наша команда продолжает искать годный контент для вас. До скорого.